Rui's Blog

Gmail.com being MITM'd by Iran using this certificate

あるルートCAが*.google.comの証明書を誰かに発行してしまったようで、それを使ってイランでGmailがman in the middle攻撃されているそうな。

そういや去年、中国のルートCAのCNNICがFirefoxのルートCAリストに追加されたとき、中国政府の影響下にあるCAは信用できないから削除するべき、というのがSlashdotで盛り上がってた。いまでもリストに入ってるのかな？ 実際こういうMITMアタックができてしまうし、ターゲットを絞って小規模にやったら検出もされないだろうから、CNNICは信用しないほうがいいと思う。ぼくの同僚は中国人含めて中共政府を好きではない人が多いと思う。ま、アメリカに住んでる人たちだから偏ってるけど、やっぱ抑圧的な政府は怖いよ。

ChromeはWindowsやMacではOSの証明書を使うけど、*.google.comの証明書は特定のルートCAの発行したものしか信用しない仕組みが入っているので、今回の事件でも安全らしい。ついでにChromebookにはCNNICの証明書は最初から入ってなかった。